FORMATO INFORME DE AUDITORÍA INTERNA CODIGO: F04-PRO-CIG-001 VERSION: 2 Fecha de aprobación: 02/06/2015 Página 1 Informe de Auditoría Especial NOMBRE DEL PROCESO LIDER DE PROCESO AUDITORES FECHA DE AUDITORIA Informe SARLAFT CARLOS ARMANDO SUÁREZ PUENTES – Oficial de Cumplimiento PAULO EMILIO MORILLO GUERRERO Asesor Control Interno GERMAN ARMANDO CORREA AMADO Apoyo Contratista 15 de Septiembre de 2017 OBJETIVO DE LA AUDITORIA Este informe tiene por objeto adelantar un seguimiento anual a las actividades realizadas por los responsables del Sistema de Administración del Riesgo y Lavado de Activos y Financiación del Terrorismo-SARLAFT, en cumplimiento del numeral 4.2.5.2 del capítulo IV, del Título IV de la Parte I de la Circular Externa 055 de 2016 que forma parte del Estatuto Orgánico del Sistema Financiero, en lo relacionado para el Fondo de Previsión Social del Congreso de la Republica, durante el periodo comprendido entre el 1º de septiembre de 2016 y el 31 de agosto de 2017. ALCANCE DE LA AUDITORIA Verificar el cumplimiento de la normatividad vigente en materia del Sistema SARLAFT. CRITERIOS DE LA AUDITORIA Manual de SARLAFT – Informes SARLAFT Estatuto Orgánico del Sistema Financiero Circular Externa 055 de 2016 Circular Básica Jurídica CE 029 de 2014 FICHA TECNICA (Herramientas utilizadas, universo, población, objeto, marco estadístico) Se realizó revisión y análisis a los informes presentados por el Oficial de Cumplimiento, y el revisor fiscal, así como de los documentos relacionados con el tema. DESARROLLO AUDITORIA INTRODUCCIÓN De conformidad con los parámetros exigidos en el capítulo décimo primero del Estatuto Orgánico del Sistema Financiero, corresponde a las entidades vigiladas por la F04-PRO-CIG-001 FORMATO INFORME DE AUDITORÍA INTERNA CODIGO: F04-PRO-CIG-001 VERSION: 2 Fecha de aprobación: 02/06/2015 Página 2 DESARROLLO AUDITORIA Superintendencia Financiera de Colombia diseñar e implementar el Sistema de Administración del Riesgo y Lavado de Activos y Financiación del Terrorismo SARLAFT. El Fondo de Previsión Social del Congreso de la República cuenta actualmente con la versión 4 del MANUAL DEL SISTEMA DE ADMINISTRACION DE RIESGOS DE LAVADO DE ACTIVOS Y FINANCIACION DEL TERRORISMO – SARLAFT, actualizado el 21 de Marzo de 2017, mediante la resolución 0099. Durante el periodo evaluado, el oficial de cumplimiento (Dr Carlos Armando Suarez) dio cumplimiento a la normatividad vigente para la prevención de lavado de activos y financiación de terrorismo establecida en el numeral 4.2.4.3.2.2 del capítulo IV del titulo IV de la Parte I de la Circular Básica Jurídica CE 029 de 2014 y del numeral 5.3 del MANUAL DEL SISTEMA DE ADMINISTRACION DE RIESGOS DE LAVADO DE ACTIVOS Y FINANCIACION DEL TERRORISMO – SARLAFT, actualizado el 21 de Marzo de 2017, mediante la resolución 0099. Teniendo en cuenta la misión de FONPRECON, el riesgo de lavados de activos y financiamiento del terrorismo a través del recaudo de aportes al sistema de pensiones bajo el régimen de prima media con prestación definida y del pago de mesadas pensionales, cesantía y auxilios funerarios, la probabilidad de ocurrencia de este riesgo es baja, por lo cual la entidad centró los factores de riesgos de LA/FT hacia los proveedores. Para la identificación, medición, evaluación y control del Riesgo se utiliza la metodología diseñada por el Departamento Administrativo de la Función Pública, DAFP, “Guía para la Administración del Riesgo”, adoptada por el Fondo y formalizada en el Manual de Administración del Riesgo para el Lavado de Activos y Financiación del Terrorismo y el Mapa de Riesgos para el SARLAFT. Las etapas establecidas se encuentran debidamente identificadas, descritas, valoradas, definido su manejo y tratamiento, compiladas en el mapa de riesgos SARLAFT. En la actualización del Manual de Administración del Riesgo para el Lavado de Activos y Financiación del Terrorismo y el Mapa de Riesgos para el SARLAFT, se evidencio que la cantidad de riesgos identificados para la entidad, pasaron a ser cinco (5) desde el mes de Marzo de 2017, y a partir de este momento se les ha venido haciendo el seguimiento durante el periodo evaluado de manera correcta, como se observa en los dos (2) informes realizados después de dicha modificación. F04-PRO-CIG-001 FORMATO INFORME DE AUDITORÍA INTERNA CODIGO: F04-PRO-CIG-001 VERSION: 2 Fecha de aprobación: 02/06/2015 Página 3 DESARROLLO AUDITORIA IDENTIFICACIÓN Riesgo Reputacional Riesgo Operacional Clase de Riesgo Riesgo Reputacional CLIENTES / USUARIOS CLIENTES / USUARIOS CLIENTES / USUARIOS FACTORES DE RIESGO Descripción de riesgo Causas Consecuencias 1. Pagos de cartera con recursos provenientes de Falta de actividades ilícitas: conocimiento Las Entidades del privadas cancelen cuotapartista las cuotas partes por parte de los pensionales con servidores de recursos ilícitos FONPRECON generalmente por vía excepcional. 1. Inicio de investigaciones disciplinarias. 2. Pérdida de la credibilidad y confianza en la Entidad. 3. Daño de la imagen de la Entidad. 4. Incremento de costos para la Entidad 5. Desgaste administrativo. 6. Recibo pago de cartera con recursos de personas incursas en las actividades relacionadas en el manual del SARLAFT 2. Vinculación de personal de planta o contrato por con vinculados actividades asociadas a Lavado y de activos del Financiación Terrorismo: Elección del talento humano que estén para inhabilitados cargos ejercer en públicos o de incumplimiento las normas en caso de vinculación con el Estado. 1. Falta de verificación con entidades las controlan que diferentes los antecedentes judiciales, fiscales, disciplinarios. Valoración 2. subjetiva. de 3. Falta la verificar información a reportada Talento Humano con 1. Contratos personas con relacionadas LA/FT. investigaciones 2. Inicio de disciplinarias. y 3. Pérdida de credibilidad Entidad confianza en la 4. Daño de la imagen de la Entidad. 5. Desgaste administrativo 1. Aportación de documentos falsos por parte de los 3.Adquirir bienes, proveedores de servicios y productos bienes, y proveedores servicios con vinculados al lavado productos. y 2. No verificar la de activos del documentación financiación terrorismo. suministrada los por proveedores en los procesos de contratación. viciados. 1. Contratos investigaciones 2. Inicio de disciplinarias. 3. Pérdida de la credibilidad y Entidad. confianza en la 4. Daño de la imagen de la Entidad. 5. Desgaste Administrativo F04-PRO-CIG-001 FORMATO INFORME DE AUDITORÍA INTERNA CODIGO: F04-PRO-CIG-001 VERSION: 2 Fecha de aprobación: 02/06/2015 Página 4 Riesgo Reputacional Riesgo Operacional SERVICIOS SERVICIOS DESARROLLO AUDITORIA 4.Pagos a favor de terceros (Libranzas, embargos) y demás descuentos asociados al pago de la nómina de y pensionados de funcionarios FONPRECON, que pueden destinarse a de actividades lavado de activos y financiación del terrorismo por parte de las cooperativas 1. Aportación de documentos falsos por parte los de prestamistas, cámara como comercio, de estados financieros etc. 2. Confianza en las instituciones investigaciones 1. Inicio de disciplinarias. 2. Pérdida de la credibilidad y Entidad. confianza en la 3. Daño de la imagen de la Entidad 4. Desgaste administrativo. 5.Recaudo de aportes pensionales pagados con dineros relacionados con el lavado de activos y del financiación de terrorismo, de afiliados FONPRECON que un cuenta con vínculo segundo laboral diferente al la Congreso de el República o mismo Fondo, o que se recauden aportes pensionales que ingresan por la No Figura de Vinculados pagados y por Empresas personas independientes que por error seleccionan a FONPRECON como Administradora de pensiones pero no son afiliados de la entidad. 1. Existe un sistema de información de liquidación de aportes llamado que PILA los dispersa pagos de la seguridad social las a Administradoras seleccionadas por los afiliados donde FONPRECON puede no el controlar abono a las cuentas de la entidad. 2. EL Ministerio de Salud tienen aplicativo el RUAF el cual obliga a PILA a los dispersar pagos pensionales de acuerdo con los la datos de administradora que reportó al afiliado a esa base. 1. Daño en la imagen de la Entidad administrativo 2. Desgaste investigaciones 3. Inicio de penales y disciplinarias Se observa en la matriz de riesgos adoptada por el Fondo, que ahora son cinco (5) , (2) operativos y tres (3) reputacionales. De acuerdo con el último informe presentado por el oficial de cumplimiento, durante el periodo evaluado, se observa que así como en los otros informes revisados, la totalidad de los riesgos se encuentran ubicados en zona de F04-PRO-CIG-001 CODIGO: F04-PRO-CIG-001 VERSION: 2 Fecha de aprobación: 02/06/2015 FORMATO INFORME DE AUDITORÍA INTERNA Página 5 DESARROLLO AUDITORIA riesgo baja, por lo que no se considera necesario adelantar planes de tratamiento. 2 1 1 1 Nivel Riesgo 1 1 zona de riesgo baja 5.Recaudo de aportes pensionales pagados con dineros relacionados con el lavado de activos y financiación del terrorismo, de afiliados de FONPRECON que cuenta con un segundo vinculo laboral diferente al Congreso de la República o el mismo Fondo, o que se recauden aportes pensionales que ingresan por la Figura de No Vinculados pagados por Empresas y personas independientes que por error seleccionan a FONPRECON como Administradora de pensiones pero no son afiliados de la entidad. zona de riesgo baja 1 2 zona de riesgo baja 1 1 zona de riesgo baja 4.Pagos a favor de terceros (Libranzas, embargos) y demás descuentos asociados al pago de la nómina de pensionados y funcionarios de FONPRECON, que pueden destinarse a actividades de lavado de activos y financiación del terrorismo por parte de las cooperativas 2 zona de riesgo baja 2 Impacto 1 Probabilidad 3.Adquirir bienes, servicios y productos con proveedores vinculados al lavado de activos y financiación del terrorismo. 1 Nivel riesgo 2 1 zona de riesgo baja 1 2. Vinculación de personal de planta o por contrato vinculados con actividades asociadas a Lavado de activos y Financiación del Terrorismo: Elección del talento humano que estén inhabilitados para ejercer cargos públicos o en incumplimiento de las normas en caso de vinculación con el Estado. 1 zona de riesgo baja 1 RIESGO RESIDUAL zona de riesgo baja 1 zona de riesgo baja Impacto 1. Pagos de cartera con recursos provenientes de actividades ilícitas: Las Entidades privadas cancelen las cuotas partes pensionales con recursos ilícitos generalmente por vía excepcional. zona de riesgo baja Descripción de riesgo Probabilidad RIESGO INHERENTE Adicionalmente, como quiera que Fonprecón realizaba operaciones de Tesorería exclusivamente con el Ministerio de Hacienda, esto calificaba su riesgo en un nivel bajo. F04-PRO-CIG-001 FORMATO INFORME DE AUDITORÍA INTERNA CODIGO: F04-PRO-CIG-001 VERSION: 2 Fecha de aprobación: 02/06/2015 Página 6 DESARROLLO AUDITORIA ELEMENTOS DEL SARLAFT: 1. POLÍTICAS La entidad adoptó en su Manual de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo una política general en la cual se impulsa la cultura de administración de riesgos y el deber de conocer por parte de toda la estructura organizacional lo relativo al sistema. Adicionalmente, la política del riesgo, trabaja de manera estrecha con la política de Calidad y con el proceso de administración de riesgos, como componente del Modelo Estándar de Control Interno – MECI. 2. PROCEDIMIENTOS El Procedimiento del “SISTEMA DE ADMINISTRACIÓN DE RIESGOS DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO (SARLAFT)” fue actualizado y se encuentra en su versión 4 de fecha 23 de Marzo de 2017. 3. DOCUMENTACIÓN Fonprecon cuenta con los siguientes documentos: Manual de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo, Resolución No. 0099 del 21 de Marzo de 2017. Procedimiento del “SISTEMA DE ADMINISTRACIÓN DE RIESGOS DE LAVADO DE ACTIVOS Y FINANCIACIÓN DEL TERRORISMO (SARLAFT)” Cuenta con los formatos de vinculación de contratistas F01-PRO-GAF-015 para personas jurídicas y F02-PRO-GAF-015 para personas naturales. Se verificó el seguimiento al SARLAFT, por parte de la revisoría Fiscal, según informes de fechas 15 de Noviembre de 2016, 9 de febrero de 2017, 23 de Mayo de 2017 y 2 de Agosto de 2017, remitidos al Dr Francisco Álvaro Ramírez Rivera, Director General. Se cuenta con el Formato CODIGO F03-PRO-GAF-015, del 5 de abril de 2016, “REPORTE A LA OFICIAL DE CUMPLIMIENTO DEL SARLAFT” en el cual la Coordinadora de Tesorería durante un periodo determinado, certifica que “No se evidencia dentro de las cuentas corrientes (Banco de Occidente, Bancolombia, y Banco de Bogotá) y de ahorro (Banco de Occidente) que maneja el Fondo de Previsión Social del Congreso de la República, transacciones que por sus características conduzcan a sospechar que se está usando la Entidad para transferir o invertir dineros provenientes de actividades delictivas o sospechosas. De igual forma no se realizaron transacciones en efectivo”. No se evidencia modificación al procedimiento o al Manual, que incorporé este formato. F04-PRO-CIG-001 FORMATO INFORME DE AUDITORÍA INTERNA CODIGO: F04-PRO-CIG-001 VERSION: 2 Fecha de aprobación: 02/06/2015 Página 7 DESARROLLO AUDITORIA 4. ESTRUCTURA ORGANIZACIONAL La estructura organizacional de la entidad se encuentra definida en el Decreto Nacional 3992 del 16 de octubre de 2008 y las funciones del Consejo Directivo, de la Dirección General, del Oficial de Cumplimiento y de los órganos de control se encuentran definidas en el Manual de Riesgos de Lavado de Activos y Financiación del Terrorismo y en la Circular Básica relacionada. Se observa que actualmente las funciones relacionadas con este riesgo en la entidad están siendo apoyadas por la profesional de la URO al oficial de cumplimiento, el Subdirector Administrativo y Financiero (E). De acuerdo con los requisitos 5 y 7 establecidos en el numeral 4.2.4.3. “Requisitos y funciones del Oficial de Cumplimiento principal y suplente”, de la Circular Básica Jurídica, el Oficial de Cumplimiento no debe pertenecer a las áreas directamente relacionadas con las actividades previstas en el objeto social principal y debe estar posesionado ante la Superintendencia Financiera. El correcto cumplimiento de lo anterior, se evidenció en el oficio enviado por el Director de la entidad al Coordinador del Grupo de Riesgos de la Superintendencia Financiera el día 8 de Septiembre de 2016 con radicado 20162000089641, con la cual envía los documentos necesarios para la posesión del oficial de cumplimiento, la respuesta enviada directamente al Dr Suarez por parte del Secretario del Comité de Posesiones de la Superintendencia Financiera adelantando la posesión respectiva y el Acuerdo 002 de 2017, donde se designa como Oficial de Cumplimiento al Dr CARLOS ARMANDO SUAREZ PUENTES y como suplente al Dr ARMANADO RICARDO DELGADO SUAREZ. 5. ÓRGANOS DE CONTROL Revisados los informes presentados por el Revisor Fiscal, de 15 de Noviembre de 2016, 9 de febrero de 2017, 23 de Mayo de 2017 y 2 de Agosto de 2017, remitidos al Dr Francisco Álvaro Ramírez Rivera, Director General, se evidencia su seguimiento al sistema SARLAFT. 6. PLATAFORMA TECNOLÓGICA Se cuenta con los requerimientos básicos para desarrollar el Sistema. 7. DIVULGACIÓN DE LA INFORMACIÓN Se encuentra en la página web de la entidad el Manual SARLAFT y la documentación F04-PRO-CIG-001 FORMATO INFORME DE AUDITORÍA INTERNA CODIGO: F04-PRO-CIG-001 VERSION: 2 Fecha de aprobación: 02/06/2015 Página 8 DESARROLLO AUDITORIA que hace parte del SARLAFT se encuentra incorporada en el Sistema de Gestión de la Calidad la cual está a disposición de los servidores en el servidor institucional. Igualmente, se realizó divulgación del SARLAFT Administrativo y Financiero el día 3 de Abril de 2017. por parte del Subdirector 8. CAPACITACIÓN Durante el periodo auditado, se realizaron las siguientes capacitaciones: Fecha Docente Tema 15/12/2016 URO 31/03/2017 Banco de Occidente 07/04/2017 Bancolombia 09/06/2017 URO Aspectos Generales Riesgo Operativo y SARLAFT proceso Talento Humano 05/07/2017 URO Aspectos Generales Riesgo Operativo y SARLAFT proceso Afiliación, Aportes e Historia Laboral 18/07/2017 URO Aspectos Generales Riesgo Operativo y SARLAFT proceso Reconocimiento de Prestaciones Económicas Gestión del Riesgo Operativo y SARLAFT SARO Y SARLAFT SARLAFT F04-PRO-CIG-001 FORMATO INFORME DE AUDITORÍA INTERNA CODIGO: F04-PRO-CIG-001 VERSION: 2 Fecha de aprobación: 02/06/2015 Página 9 DESARROLLO AUDITORIA 17/08/2017 URO Aspectos Generales Riesgo Operativo y SARLAFT proceso Pago de Prestaciones Económicas OBSERVACIONES Y RECOMENDACIONES 1. Actualizar en el Manual SARLAFT, de manera específica todos los requisitos mínimos solicitados en la norma, en especial lo relacionado con las políticas específicas del riesgo que nos apliquen. “4.2.1.1. Impulsar a nivel institucional la cultura en materia de administración del riesgo de LA/FT. 4.2.1.4. Consagrar lineamientos más exigentes de vinculación de clientes y de monitoreo de operaciones de personas nacionales o extranjeras que, por su perfil o por las funciones que desempeñan, pueden exponer en mayor grado a la entidad al riesgo de LA/FT. 4.2.1.7. Establecer las consecuencias que genera el incumplimiento del SARLAFT. 2. Se recomienda incluir como punto de control en los procedimientos de vinculación de personal de planta o por contrato, adquisición de bienes, servicios y productos, pagos a favor de terceros (libranzas, embargos, etc), recaudo de aportes pensionales, todos estos relacionados con el lavado de activos y financiación del terrorismo, la revisión y verificación de la Lista Consolidada de Sanciones del Consejo de Seguridad de las Naciones Unidas, la cual se encuentra en la página de la Superintendencia Financiera en el Link https://www.un.org/sc/suborg/es/sanctions/un-sc-consolidated-list. PLAN DE MEJORAMIENTO Se deberá suscribir un plan de mejoramiento en el cual se incluyan las observaciones descritas en el presente informe, plan de mejoramiento que se deberá presentar en un término máximo de 8 días hábiles a partir de la de comunicación del presente informe. F04-PRO-CIG-001